не имею возможности проверить контейнер а разрабы тащат туда все/что хотят
я решал
Стекрокс
Pod Secutiry Policy/gatekeeper/kyverno/jspolicy Задаешь политику,которая в securityContext прописывает принудительно юзера (runAsUser, runAsGroup) провит Я накидиываю на ns по 100 юзеров Условно ns1 - uids 10001-10100, ns2 - 10101 - 10200, etc
Повесьте admission webhook на create подов прост
Обсуждают сегодня